2019年5月互联网安全威胁报告.pdf

良 中 差 危 优良 中 差 危 优 CNCERT互联网安全威胁报告 2019年 5月 总 第 101 期 热线电话： +8610 82990999（中文）， 82991000（英文） 传真： +8610 82990399 电子邮件： cncertcert PGP Key： cert/cncert.asc 网址： cert/ 摘要： 本报告以 CNCERT 监测数据和通报成员单位报送数 据作为主要依据，对我国互联网面临的各类安全威胁进行总体态势分析， 并对重要预警信息 和典型安全事件进行探讨。 2019 年 5 月 ，互联网网络安全状况整体评价为 良 。主要数据如下： 境内感染网络病毒的终端数为 61万 余 个 ； 境内被篡改网站数量为 19,718个，其中被篡改政府网站数量为 55个；境内被植入后门的网站数量为 6,177个，其中政府网站有 113个；针对 境内网站的 仿冒页面数量为 7,147个 ； 国家信息安全漏洞共享平台（ CNVD）收集整理信息系统安全漏洞 1,061个 。 其中，高危漏洞 306个，可被利用来实施远程攻击的漏洞有 936个。 国家互联网应急中心 cert 关于 国家计算机网络应急技术处理协调中心 （ CNCERT） 1、 CNCERT 简介 工作职责 国家计算机网络应急技术处理协调中心（简称“国家互联网应急中心”，英文简称 CNCERT 或 CNCERT/CC），成立于 2001 年 8 月，为非政府非盈利的网络安全技术中心，是中国计算机网络应急处理体系中的牵头单位。作为国家级应急中心， CNCERT的主要职责是：按照“积极预防、及时发现、快速响应、力保恢复”的方针，开展互联网网络安全事件的预防、发现、预警和协调处 置等工作，维护公共互联网安全，保障关键信息基础设施的安全运行。 应急体系 CNCERT 在中国大陆 31 个省、自治区、直辖市设有分支机构。目前， CNCERT 作为中国计算机网络应急处理体系中的牵头单位，通过组织网络安全企业、学校、社会组织和研究机构，协调骨干网络运营单位、域名服务机构和其他应急组织等，构建中国互联网安全应急体系，共同处理各类互联网重大网络安全事件。 行业合作 CNCERT 积极发挥行业联动合力，发起成立了国家信息安全漏洞共享平台（ CNVD）、中国反网络病毒联盟（ ANVA）和中国互联网网络安全威胁治理 联盟（ CCTGA），与国内的基础电信企业、增值电信企业、域名注册服务机构、网络安全服务厂商等建立漏洞信息共享、网络病毒防范、威胁治理和情报共享等工作机制，加强网络安全信息共享和技术合作。 CNCERT 还通过公开选拔方式，选择部分在中国境内从事公共互联网网络安全服务的机构作为“ CNCERT 网络安全应急服务支撑单位”。在 CNCERT 的统一协调与指导下，各支撑单位共同参与中国互联网安全事件的应急处理工作，维护公共互联网网络安全。 国际合作 CNCERT 积极开展网络安全国际合作，致力于构建跨境网络安全事件的快速响应和 协调处置机制，是国际著名网络安全合作组织 FIRST 的正式成员，以及亚太应急组织 APCERT 的发起者之一。 CNCERT 持续实施“ CNCERT 国际合作伙伴计划”，已与百余个组织建立了联系机制。 CNCERT 还积极参加亚太经合组织、国际电联、上合组织、东盟、金砖等政府层面国际和区域组织的网络安全相关工作。 国家互联网应急中心 cert 2、业务范围 事件发现： CNCERT 依托公共互联网网络安全监测平台开展对基础信息网络、金融证券等重要信息系统、移动互联网服务提供商、增值电信企业等安全事件的自主监测。同时还通过与国内外合作伙伴进行数据和信息共享 ，以及通过热线电话、传真、电子邮件、网站等接收国内外用户的网络安全事件报告等多种渠道发现网络攻击威胁和网络安全事件。 预警通报： CNCERT 依托对丰富数据资源的综合分析和多渠道的信息获取实现网络安全威胁的分析预警、网络安全事件的情况通报、宏观网络安全状况的态势分析等，为用户单位提供互联网网络安全态势信息通报、网络安全技术和资源信息共享等服务。 应急处置：对于自主发现和接收到的危害较大的事件报告， CNCERT 及时响应并积极协调处置，重点处置的事件包括：影响互联网运行安全的事件、波及较大范围互联网用户的事件、涉 及重要政府部门和重要信息系统的事件、用户投诉造成较大影响的事件，以及境外国家级应急组织投诉的各类网络安全事件等。 测试评估：作为网络安全检测、评估的专业机构，按照“支撑监管，服务社会”的原则，以科学的方法、规范的程序、公正的态度、独立的判断，按照相关标准为政府部门、企事业单位提供安全评测服务。 CNCERT 还组织通信网络安全相关标准制定，参与电信网和互联网安全防护系列标准的编制等。 国家互联网应急中心 cert 版权及免责声明 CNCERT 互联网安全威胁报告（以下简称 “报告 ”）为国家计算机网络应急技术处理协调中心（简 称国家互联网应急中心， CNCERT 或 CNCERT/CC）的电子刊物，由CNCERT 编制并拥有版权。报告中凡摘录或引用内容均已指明出处，其版权归相应单位所有。本报告所有权利及许可由 CNCERT 进行管理，未经 CNCERT 同意，任何单位或个人不得将本报告以及其中内容转发或用于其他用途。 CNCERT 力争保证本报告的准确性和可靠性，其中的信息、数据、图片等仅供参考，不作为您个人或您企业实施安全决策的依据 ， CNCERT 不承担与此相关的一切法律责任。编者按： 感 谢您阅读 CNCERT 互联网安全威胁报告，如果您发现本 报告 存在任何问题，请您及时与我们联系，来信地址为： cncertcert。 国家互联网应急中心 cert 1 本月网络安全基本态势分析 2019 年 5 月 ， 互联网网络安全状况整体评 价为良。我国基础网络运行总体平稳，互联网骨干网各项监测指标正常，未发生较大以上网络安全事件。在我国互联网网络安全环境方面， 境内的木马或僵尸程序控制服务器 IP 地址数量、境内被篡改网站的总数、境内被植入后门的网站数量、仿冒境内网站的 IP 数量等较上月有所增长，其他各类网络安全事件数量均有不同程度的下降。总体上， 5 月公共互联网网络安全态势较上月有所恶化 ,评价指数在良的区间 。 基础网络安全 2019 年 5 月 ，我国基础网络运行总体平稳，互联网骨干网各项监测指标正常，未出现省级行政区域以上的造成较大影响的基础网络运行故障， 未发生较大以上网络安全事件。 重要联网信息系统安全 本月，监测发现境内政府网站被篡改的数量为 55 个，与上月的85 个相比下降 35.3%，占境内被篡改网站的比例由 1.2%下降到 0.3%；境内政府网站被植入后门的数量为 113 个，与上月的 57 个相比增长98.2%，占境内被植入后门网站的比例由 1.3%上升到 1.8%。针对境内网站的仿冒页面数量为 7,147 个，较上月的 8,944 个下降 20.1%。国家信息安全漏洞共享平台（ CNVD）共协调处置了 1,990 起涉及我国政府部门以及银行、民航等重要信息系统部门以及电信、传媒、公共卫生、教育等相关行业的漏洞事件 。 公共网络环境安全 2019 年 5 月 ，根据 CNCERT 的监测数据，我国互联网网络安全国家互联网应急中心 cert 2 环境主要指标情况如下： 网络病毒 1活动情况方面，境内感染网络病毒的终端数为 61 万 余 个 ，较上月 下降 24.2%。 网站安全方面， 境内被篡改网站数量为 19,718 个较上月增长 178.4%，主要增长原因为数据监测范围扩大所致；境内被植入后门的网站数量为 6,177 个，较上月增长 37.7%； 针对境内网站的仿冒页面数量为 7,147 个，较上月下降 20.1%。 安全漏洞方面，本月 CNVD 共收集整理信息系统安全漏洞 1,061 个，较上月增长 20.4%。其中高危漏洞 306 个，较上月下降8.1%；可被利用来实施远程攻击的漏洞有 936 个，较上月 增长 16.9%。事件受理方面， CNCERT 接收到网络安全事件报告 8,252 件，较上月下降 7.3%，数量最多的分别是 恶意程序类事件 2,436 件、漏洞类事件2,378 件 。 事件处理方面， CNCERT 处理了网络安全事件 8,291 件，数量最多的分别是 恶意程序类事件 2,438 件、 网页仿冒类事件 2,373件 。 注 1：一般情况下，恶意代码是指在未经授权的情况下，在信息系统中安装、执行以达到不正当目的的程序。其中，网络病毒是特指有网络通信行为的恶意代码。 5 月， CNCERT 在对恶意代码进行抽样监测时，对 551 种木马家族和 83 种僵尸程序家族进行了抽样监测。 国家互联网应急中心 cert 3 本月网络安全主要数据 网络病毒监测数据分析 2019 年 5 月 ，境 内感染网络病毒的终端数为 61 万余个 。其中，境内 近 40 万个 IP 地址对应的主机被木马或僵尸程序控制，与上月的51 万余个相比 下降 22.4%。 木 马僵尸网络监测数据分析 2019 年 5 月 ，境内 近 40 万 个 IP 地址对应的主机被木马或僵尸程序控制， 按地区分 布感染数量排名前三位的 分别是 广东省、北京市、江苏省 。 木马或僵尸网络控制服务器 IP 总数为 7,649 个。其中， 境内木马或僵尸程序控制服务器 IP 有 2,804 个 ，按地区分布数量排名前三位的分别为 广东省、北京市、江苏省 。 境外木马或僵尸程序 控制服务器 IP有 12,170 个 ，主要分布于 美国、 中国香港 和 澳大利亚 。 其中， 位于美国的控制服务器控制了境内 287,768 个主机 IP，控制境内主机 IP数量居首位，其次是位于中国香港和法国的 IP 地址，分别控制了境内 32,721 个和 31,386 个主机 IP。 移动互联网恶意程序监测数据分析 2019 年 5 月 ， CNCERT 重点针对目前流行的信息窃取类、恶意扣费类和敲诈勒索类典型移动恶意程序进行分析，发现 敲诈勒索类恶意程序样本 1,546 个，恶意扣费类恶意程序样本 479 个，信息窃取类恶意程序样本 329 个 。 2019 年 5 月 ， CNCERT 向应用商店、个人网站、广告平台、云平台等传播渠道通报下架移 动互联网恶意程序 100 个。 这些 移动互联网恶意程序按行为属性统计， 资费消耗类的恶意程序数量居首位 (占国家互联网应急中心 cert 4 50.0%)，诱骗欺诈类（占 22.0%）、流氓行为类（占 15.0%）分列第二、三位 。 网络病毒捕获和传播情况 网络病毒主要针对一些防护比较薄弱，特别是访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后，会经过多级跳转暗中连接黑客最终 “放马 ”的站点下载网络病毒。 网络病毒在传播过程中，往往需要利用黑客注册的大量域名。 2019年 5 月 ， CNCERT 监测发现的放马站点中，通 过域名访问的共涉及有12, 779 个域名，通过 IP 直接访问的共涉及有 11, 554 个 IP。在 12, 779个放马站点域名中，于境内注册的域名数为 4, 272 个（约占 33.4%），于境外注册的域名数为 3,087 个（约占 24.2%）。 放马站点域名所属顶级域名排名前 5 位的具体 情况如表所示。 表 2019 年 5 月 活跃恶意域名所属顶级域名 排序 顶级域名（ TLD） 类别 恶意域名数量 1 通用顶级域名（ gTLD） 6113 2 国家顶级域名（ ccTLD） 1858 3 通用顶级域名（ gTLD） 571 4 .IO 通用顶级域名（ gTLD） 467 5 通用顶级域名（ gTLD） 238 网站安全数据分析 境内网站被篡改情况 2019 年 5 月 ，境内被篡改网站的数量为 19,718 个 ， 境内被篡改网站数量按地区分布排名前三位的分别是 北京市、 广东省和 山东省 。按网站类型统计，被篡改数量最多的是 域名类网站，其多为商业类网站；值得注意的是，被篡改的 .GOV 域名类网站有 55 个，占境内被篡改网站的比例为 0.3%。 国家互联网应急中心 cert 5 境内网站被植入后门情况 2019 年 5 月 ，境内被植入后门 的网站数量为 6,177 个 ， 境内被植入后门的网站数量按地区分布排名前三位的分别是 北京市、 广东省 、四川 省 。按网站类型统计，被植入后门数量最多的是 域名类网站，其多为商业类网站；值得注意的是，被植入后门的 .GOV 域名类网站有 113 个，占境内被植入后门网站的比例为 1.8%。 2019 年 5 月 ， 境外 3,846 个 IP 地址通过植入后门对境内 5,958个网站实施远程控制 。 其中，境外 IP 地址主要位于 美国 、 中国香港 、和 新加坡 等国家或地区。从境外 IP 地址通过植入后门控制境内网站数量来看， 来自 中国香港 的 IP 地址共向境内 1,711 个网站植入了后门程序，入侵网站数量居首位；其次是来自 美国 和 菲律宾 的 IP 地址，分别向境内 1,354 个和 707 个网站植入了后门程序 。 境内网站被仿冒情况 2019 年 5 月 ， CNCERT 共监测到针对境内网站的仿冒页面有7,147 个，涉及域名 2,073 个， IP 地址 1,393 个 ，在这 1,393 个 IP 中，96.8%位于境外 ，主要位于中国香港 和美国 。 漏洞数据分析 2019 年 5 月 ， CNVD 收集整理信息系统安全漏洞 1,061 个。其中，高危漏洞 306 个，可被利用来实施远程攻击的漏洞有 936 个。受影响的软硬件系统厂商包括 Adobe、 Cisco、 Foxit、 Google、 IBM、 Microsoft、Oracle、 Sierra Wireless 等 。 根据漏洞影响对象的类型，漏洞可分为 应用程序、 WEB 应用、操作系统、网络设备（交换机、路由器等网络端设备）、安全产品（如防火墙、入侵检测系统等）、数据库和智能设备（物联网终端设备）漏洞。 本月 CNVD 收集整理的漏洞中，按漏洞类型分布排名前三位的分别是应用程序漏洞、 WEB 应用 漏洞 、 网络设备 漏洞 。 国家互联网应急中心 cert 6 网络安全事件接收与处理情况 事件接收情况 2019 年 5 月 ， CNCERT 收到国内外通过电子邮件、热线 电话、网站提交、传真等方式报告的网络安全事件 8,252 件（合并了通过不同方式报告的同一网络安全事件，且不包括扫描和垃圾邮件类事件），其中来自国外的事件报告有 38 件。 在 8,252 件事件报告中 ，排名前三位的安全事件分别是 恶意程序 、漏洞、网页仿冒 。 事件处理情况 对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件，以及自主监测发现的网络安全事件， CNCERT 每日根据事件的影响范围和存活性、涉及用户的性质等因素，筛选重要事件进行协调处 理。 2019 年 5 月 ， CNCERT 以及各省分中心共同协调处理 了 8,291 安全事件。 其 中 恶意程序 类、 漏洞类、网页仿冒类 事件 处理数量较多。